Servus,
habe seit kurzem ein Problem mit dem W32.Fakerecy. Er setzt sich regelmäßig (ca. alle 20sec.) in den Ordner D:\Werbas\Recycled\ctfmon.exe und wird dann von Symantec erkannt und gelöscht, das Problem ist nur das ich den Virus nicht finde, welcher diesen Befehl ausführt. Habe schon etliche komplett Scan´s durchgeführt aber den Virus nicht gefunden. Aus der HijackThis Logfile werde ich auch nicht schlau, aber vielleicht könnt Ihr mir ja weiterhelfen. P.S. das Betriebssystem ist Windows 2000 Server.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:10:34, on 23.11.2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\SAV\DefWatch.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\system32\cba\pds.exe
C:\WINNT\System32\llssrv.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\PROGRA~1\Symantec\SYMANT~1\NSCTOP.EXE
C:\WINNT\system32\ntfrs.exe
C:\PVSW\BIN\W3SQLMGR.EXE
C:\PVSW\BIN\NTBTRV.EXE
C:\WINNT\system32\regsvc.exe
C:\PVSW\BIN\NTDBSMGR.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Reporting Agents\Win32\ReporterSvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
D:\DAT2\SDII\TRANSBAS\SD2MUX32.EXE
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\SAV\Rtvscan.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\termsrv.exe
C:\Programme\Tyan Computer Corp\Tyan System Monitor Server Agent\TSMDataEngine.exe
C:\Programme\Pwrchute\ups.exe
C:\Programme\iMatePro Server\UPServ.exe
c:\programme\gemeinsame dateien\vidicom\vcmserver.exe
C:\PROGRA~1\GEMEIN~1\vidicom\VidiRegServ.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\dns.exe
C:\WINNT\system32\ams_ii\hndlrsvc.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\ams_ii\iao.exe
C:\Programme\iMatePro Server\UPSmart.EXE
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\System32\ismserv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SAV\VPTray.exe
C:\WINNT\system32\internat.exe
C:\WinZip\WZQKPICK.EXE
C:\Programme\VERITAS\Backup Exec\NT\bkupexec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [PRONoMgrWired] c:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [\\strohm3\EPSON Stylus D78 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\1\E_S3.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SAV\VPTray.exe
O4 - HKLM\..\Run: [UPSmart] C:\Programme\iMatePro Server\UPSmart.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [EPSON Stylus D78 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\WINNT\TEMP\E_S177.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [\\strohm3\EPSON Stylus D78 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATIBGE.EXE /FU "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\1\E_S94.tmp" /EF "HKCU"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: SDASSIST.LNK = D:\DAT2\SDII\D\D\EXE.W95\SDASSIST.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Strohm.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{999E2FCD-AE0D-4262-A8B0-9811DDC45E3A}: NameServer = 192.168.100.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Strohm.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Strohm.local
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Backup Exec 8.x Agent Browser (BackupExecAgentBrowser) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benetns.exe
O23 - Service: Backup Exec 8.x Alert Server (BackupExecAlertServer) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\alertServer.exe
O23 - Service: Backup Exec 8.x Device & Media Service (BackupExecDeviceMediaService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\pvlsvr.exe
O23 - Service: Backup Exec 8.x Job Engine (BackupExecJobEngine) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\bengine.exe
O23 - Service: Backup Exec 8.x Naming Service (BackupExecNamingService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\benser.exe
O23 - Service: Backup Exec 8.x Notification Server (BackupExecNotificationServer) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\nsvr.exe
O23 - Service: Backup Exec 8.x Server (BackupExecRPCService) - VERITAS Software Corporation - C:\Programme\VERITAS\Backup Exec\NT\beserver.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\SAV\DefWatch.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Intel Alert Handler - LANDesk Software Ltd. - C:\WINNT\system32\ams_ii\hndlrsvc.exe
O23 - Service: Intel Alert Originator - LANDesk Software Ltd. - C:\WINNT\system32\ams_ii\iao.exe
O23 - Service: Intel File Transfer - LANDesk Software Ltd. - C:\WINNT\system32\cba\xfr.exe
O23 - Service: Intel PDS - LANDesk Software Ltd. - C:\WINNT\system32\cba\pds.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Symantec System Center Discovery-Dienst (NSCTOP) - Symantec Corporation - C:\PROGRA~1\Symantec\SYMANT~1\NSCTOP.EXE
O23 - Service: Pervasive.SQL 2000 (relational) - Pervasive Software Inc. - C:\PVSW\BIN\W3SQLMGR.EXE
O23 - Service: Pervasive.SQL 2000 (transactional) - Unknown owner - C:\PVSW\BIN\NTBTRV.EXE
O23 - Service: Reporting Agents (Reporting) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Reporting Agents\Win32\ReporterSvc.exe
O23 - Service: SD2MUX32 - Transaction Software, D 81829 Munich - D:\DAT2\SDII\TRANSBAS\SD2MUX32.EXE
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\SAV\Rtvscan.exe
O23 - Service: TSMDataEngine - Tyan Computer Corp - C:\Programme\Tyan Computer Corp\Tyan System Monitor Server Agent\TSMDataEngine.exe
O23 - Service: UPS - APC PowerChute plus (UPS) - APC - C:\Programme\Pwrchute\ups.exe
O23 - Service: UPSmart - Unknown owner - C:\Programme\iMatePro Server\UPServ.exe
O23 - Service: vidicom Server - vidicom GmbH - c:\programme\gemeinsame dateien\vidicom\vcmserver.exe
O23 - Service: VidiReg Server - vidicom GmbH - C:\PROGRA~1\GEMEIN~1\vidicom\VidiRegServ.exe

--
End of file - 8467 bytes



Vielen Dank im Vorraus!!!

Hallo und

Backups werden ja mit BackupExec immer gemacht oder?

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

So, habe jetzt die komplette Anleitung abgearbeitet, viren wurden aber keine gefunden! Hier mal die Log files:

File-Upload.net - Thomas86.zip

Kann es sein, dass der Virus auch über das Netzwerk streut? Haben ein Netzwerk mit ca. 10 PC´s welche alle das gleiche Netzlaufwerk benutzen. Dieses Laufwerk befindet sich auf dem Infizierten rechner. Auf den restlichen PC´s werden aber keine Viren erkannt.

Code: Alles auswählenAufklappen

ATTFilter

S3 PDCOMP;PDCOMP; C:\WINNT\system32\drivers\PDCOMP.sys []
S3 PDFRAME;PDFRAME; C:\WINNT\system32\drivers\PDFRAME.sys []
S3 PDRELI;PDRELI; C:\WINNT\system32\drivers\PDRELI.sys []
         

Ich glaub hier sind ein paar Anhaltspunkte. Werte die Dateien (blau eingefärbt) doch mal bei Virustotal aus, lass Dir vorher alle Dateien anzeigen, auch versteckte und geschützte Systemdateien.
Poste dann die drei Ergebnislinks auch wenn nichts gefunden wurde.

Die angegebenen Dateien sind auf meinen PC gar nicht vorhanden. Habe mir alle dateien anzeigen lasssen (Versteckte und auch Systemdateien), kann sie aber nicht finden.

Zitat:

D:\Werbas\Recycled\ctfmon.exe und wird dann von Symantec erkannt und gelöscht

Mal ne andere Idee: "Werbas" ist nicht zufällig ein Dir bekannter Software-Hersteller? Vllt muss das bei der Software ja so sein und es handelt sich hier nur um einen Fehlalarm. Signaturen für den Symantec-Scanner sind aktuell?

Ich würde auf einem Windows 2000 Server auch nur ungern "unsere" Bereinungstools loslassen. Die können mitunter was beschädigen und ein Neustart ist meist auch immer fällig, was bei einem Server nicht mal eben so gemacht werden kann.

Werbas ist ein von uns verwendetes Programm zur Rechnungserstellung. Habe das Problem jetzt wohl gefunden, einer im Netz angemeldeter PC (ohne Virenschutz!) hat den Virus auf dem Server verstreut. Der Server ist soweit jetzt bereinigt nur den Einzelplatz muss ich jetzt noch bereinigen. Danke für eure Hilfe.